Ogr*_*m33 5 linux password-management passwords
我是一个小团队的“备份”系统管理员,而主系统管理员无法使用。实验室设置对我来说有点新,而且我还不熟悉它的设置方式(而且我的 Linux 系统管理技能可能有点过时)。我被要求为用户重置密码,我想“太棒了,这只是 passwd -e 用户名”。不幸的是,这给了我:
# /usr/bin/passwd jdoe
Changing password for user jdoe.
Password reset by root is not supported.
passwd: Authentication token manipulation error
起初我以为我只需要使用 LDAP ldappasswd,但显然它没有使用 LDAP(/usr/bin/ldappasswd不存在并且系统上找不到该命令)。最后我检查了一下/etc/nsswitch.conf,看到了这个:
passwd: files sss
shadow: files sss
group: files sss
附加信息:该系统(以及我的大部分实验室网络)在 CentOS 版本 6.6 上运行。
好吧,我想我的Linux技能有点不足或者生疏了。“sss”是什么?如何在此系统上完成简单的密码重置?
更新信息:
我正在尝试以 root 用户身份重置密码(是的,这不是我们启用 root 登录的最佳安全设置,也不是实验室管理员的 sudo,但我只是备份人员......我只能尝试影响)。相关的行似乎是/etc/sssd/sssd.conf(最好的猜测,正如我所说,我对某些东西很生疏,比如 IPA):
ipa_domain = sub.domain.mycompany.com
id_provider = ipa
auth_provider = ipa
ldap_autofs_entry_object_class = automount
access_provider = ipa
ipa_hostname = node6.sub.domain.mycompany.com
chpass_provider = ipa
ldap_autofs_entry_key = automountKey
ipa_server = ipa1.sub.domain.mycompany.com, ipa2.sub.domain.mycompany.com
线索首先是知道/etc/nsswitch.conf系统上的文件用于配置Linux 中的名称服务切换设施。来自维基百科:
名称服务交换机 (NSS) 是类 Unix 操作系统中的一个工具,它为通用配置数据库和名称解析机制提供各种来源。这些源包括本地操作系统文件(例如 /etc/passwd、/etc/group 和 /etc/hosts)、域名系统 (DNS)、网络信息服务 (NIS) 和 LDAP。
文件中的这一行/etc/nsswitch.conf让我们知道 Linux“系统安全服务”(sss) 是用户密码和相关功能的提供者。
passwd: files sss
下一条线索来自于 的内容/etc/sssd/sssd.conf。 该配置文件的手册页告诉我们有关该条chpass_provider目的信息,对我来说就是 ipa:
chpass_provider = ipa
这一行让我们知道哪些服务器负责运行 ipa 服务:
ipa_server = ipa1.sub.domain.mycompany.com, ipa2.sub.domain.mycompany.com
最后,我只需登录到ipa1.sub.domain.mycompany.com,我发现它ipa确实已安装,还有 LDAP。经过几次明智的互联网搜索,我找到了这个有关通过 IPA 管理密码的 Redhat 页面,它为我提供了以下有用的步骤:
$ kinit admin
$ ipa user-mod jsmith --password
瞧,完成了!经验教训:我的实验室系统是一种以(可能)非标准方式配置的服务器大杂烩,但是一些知识渊博的人可以为您提供一些线索,为您指明正确的方向,并遵循面包屑和进行一些互联网搜索有望找到答案。
| 归档时间: |
|
| 查看次数: |
21444 次 |
| 最近记录: |